Booking.com moet GDPR-boete van half miljoen betalen (Update)

Abonneer je gratis op Techzine!

De Autoriteit Persoonsgegevens heeft Booking.com een boete van 475.000 euro opgelegd voor het overtreden van de GDPR-regelgeving. Het bedrijf heeft een datalek te laat gemeld.

Op 19 december 2018 wist een hacker toegang te krijgen tot de gegevens van ongeveer vierduizend klanten van Booking.com. Het datalek kwam op 10 januari 2019 boven water drijven, maar de Booking.com maakte daar pas op 7 februari melding van bij de Autoriteit Persoonsgegevens. In de GDPR staat echter dat een dergelijk datalek binnen maximaal 72 uur na ontdekking moet worden doorgegeven aan de privacytoezichthouder.

NAW-gegevens en creditcardinformatie

Een onbekende hacker wist toegang te krijgen tot een systeem waarin Booking.com zijn gegevens opslaat over reserveringen en betalingen. Daarin stonden de NAW-gegevens, telefoonnummers en boekingsinformatie van 4109 bezoekers van 40 hotels. Bij 283 slachtoffers waren er ook creditcardgegevens opgeslagen, waarvan 97 inclusief cvc-code.

Phishingaanvallen begonnen meteen

De gestolen gegevens bleken meteen in gebruik genomen te zijn, want de benadeelde klanten klaagden al snel dat ze werden benaderd met gepersonaliseerde phishingmails. Die namen contact op met de hotels waar ze waren geweest, welke op 9 januari 2019 aan Booking.com vertelde over dit probleem. Op 31 januari startte Booking.com een onderzoek naar het incident. Op 4 februari kwam het tot de conclusie dat er inderdaad waarschijnlijk sprake was van een datalek en gaf dit toen door aan het ‘Privacy Team’ van Booking.com, waarna het bedrijf op zijn beurt de klanten op de hoogte stelde. Pas drie dagen later werd de Autoriteit Persoonsgegevens op de hoogte gebracht.

Booking.com had eerder melding kunnen doen

Booking.com stelt dat het op tijd was met het melden van het datalek, omdat het interne onderzoek pas op 4 februari was afgerond. Daar is de Autoriteit Persoonsgegevens het echter niet mee eens. De toezichthouder vindt dat het bedrijf op 13 januari al melding van het datalek had kunnen maken.

Ernstige overtreding

De Autoriteit Persoonsgegevens spreekt van een ernstige overtreding, omdat het bedrijf zo lang heeft gewacht met het doorgeven van het datalek. Datalekken kunnen voorkomen, stelt de toezichthouder, maar deze moeten wel op tijd worden gemeld.

Update: Reactie van Booking.com

Na publicatie van het artikel ontvingen we een reactie vanuit Booking.com over deze zaak. Die hebben we hier integraal opgenomen:

“Het is belangrijk om op te merken dat de boete van de Autoriteit Persoonsgegevens specifiek betrekking heeft op het te laat melden van dit incident en niet in verband staat met de beveiligingspraktijken van Booking.com, noch met de algehele afhandeling van het incident in kwestie. In feite erkent het AP-rapport de transparante en open afhandeling van dit incident door Booking.com, inclusief de manier waarop we getroffen klanten en partners vervolgens hebben ondersteund, wat ertoe heeft geleid dat het standaardbedrag van de boete met € 50.000 is verlaagd.  

Met betrekking tot het incident zelf van eind 2018 is het belangrijk om op te merken dat hoewel een klein aantal hotels onbedoeld inloggegevens van hun Booking.com-account aan online oplichters hebben verstrekt, er geen sprake was van een compromitterende situatie met betrekking tot de code of databases van het Booking.com-platform. Nadat we op 13 januari 2019 de eerste meldingen van verdachte activiteiten hadden ontvangen, begonnen we te werken aan het begrijpen van het probleem en deze op te lossen, maar helaas werd de kwestie niet zo snel intern geëscaleerd als we hadden gewild, wat leidde tot de late melding van het incident bij het Autoriteit Persoonsgegevens. We hebben sindsdien extra stappen ondernomen om onze partners en medewerkers beter bewust te maken van, en voor te lichten over belangrijke privacymaatregelen en algemene beveiligingsprocessen, terwijl we ook werken aan het verder optimaliseren van de snelheid en efficiëntie van onze interne meldingskanalen. Dit is een doorlopend en iteratief proces, zodat we de meldingsdeadlines van de AP kunnen halen. 

We waarderen de open communicatie met de AP betreffende deze kwestie en de toegenomen duidelijkheid die deze beslissing voor Booking.com en andere bedrijven brengt over de strikte en tijdige meldingsvereisten onder de AVG. De bescherming en beveiliging van persoonlijke informatie heeft de hoogste prioriteit bij Booking.com. Daarom doen we aanzienlijke investeringen om de gegevens waarvoor we verantwoordelijk zijn te beschermen en om snel te reageren in het zeldzame geval dat zich een incident voordoet.” 

Tip: ‘Data miljoenen Nederlanders op straat door lek bij autobedrijven’